Die FINMA führt seit 2009 die Datensammlung „Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung“ als Hilfsdatensammlung zur Beurteilung, ob einzelne natürliche Personen die in den Aufsichtsgesetzen verlangte Gewähr bieten — die sog. Watchlist. Ein ehemaliger leitender Angestellter einer Bank, die offenbar in schwerwiegender Weise gegen schweizerisches Finanzmarktrecht verstossen hatte, hatte zunächst Auskunft in seine Daten in der Watchlist und später deren Löschung und das Unterlassen weiterer Bearbeitung seiner Daten verlangt.
Sowohl die FINMA als auch das BVGer (vgl. die Zusammenfassung des Urteils des BVGer) hatten dieses Begehren abgewiesen. Das BGer heisst die Beschwerde gegen das Urteil des BVGer gut und weist die FINMA an, die Daten über den Beschwerdeführer zu löschen.
Ausgangspunkt des Entscheids ist die Feststellung, dass der Eintrag in die Watchlist aus mehreren Gründen einen schweren Eingriff in das Recht auf informationelle Selbstbestimmung darstellt, wofür nach Art. 36 BV und Art. 17 Abs. 2 DSG eine formellgesetzliche Grundlage (hier in einem Bundesgesetz) erforderlich ist. Dafür genügt hier Art. 23 FINMAG, wonach die FINMA im Rahmen der Aufsicht Personendaten bearbeitet und die Einzelheiten dazu selbst regelt. Allerdings lasse sich aus Art. 23 FINMAG nicht eine einzig auf Verdachtsmomenten beruhende Vorratshaltung von Daten herleiten. Von dieser Bestimmung gedeckt seien lediglich erhärtete Angaben zur Person in Verbindung mit zuverlässigen Daten zur Geschäftstätigkeit. Nicht gesetzeskonform seien daher andere Daten
wie von Beteiligten oder Behörden ausgesprochene Vermutungen und Anschuldigungen oder unbelegte Verdächtigungen sowie sonstige, nicht in einem kontradiktorischen oder sonst wie glaubwürdigen Verfahren erhobene und geprüfte Äusserungen mündlicher oder schriftlicher Art.
Demnach waren die Aufzeichnungen über den Beschwerdeführer, die fast ausschliesslich auf Verdachtsmomenten beruhten und aus Verfahren, in denen der Beschwerdeführer nicht Partei war, nicht von der formellgesetzlichen Grundlage gedeckt. Dazu kommt, dass die auf Art. 23 FINMAG gestützte Datenverordnung-FINMA den Inhalt der Watchlist in Art. 3 in abschliessender Weise beschreibt. Die Beschwerde war daher gutzuheissen.